Я защищаю свой веб-сайт от атак javascript и xss. Он написан на веб-формах ASP.NET.
Основная часть, которую я хотел бы протестировать, - это пользовательский элемент управления с текстовым полем (к нему прикреплен tinyMCE).
Пользователи могут отправлять истории на сайт, написав в этом текстовом поле. Мне пришлось установить validateRequest
в false, поскольку я хочу получать истории пользователей в HMTL (tinyMCE).
Как мне предотвратить атаки javascript-xss? Поскольку истории пользователей представляют собой тексты HMTL, я не могу использовать Server.HtmlEncode
в их историях. В общем, как безопасный способ получать HTML-контент от пользователя, сохранять и затем отображать его для пользователей?
Если один пользователь помещает вредоносный код в текстовое поле и отправляет его, есть ли вероятность, что это может нанести вред другим людям, просматривающим этот текст?
Спасибо.